Ende 2025 ein neues Malware-Projekt zielt darauf ab, Informationen zu stehlen, die die Aufmerksamkeit der Forscher: Arkanix Stealer entstand in dunklen Foren. Im Aussehen war es ein Produkt für Kunden konzipiert: es bot ein Bedienfeld, Kommunikation über einen Discord-Server und eine zweistufige Preisstruktur - eine grundlegende Option geschrieben in Python und eine native "Premium"-Version in C + + geschützt mit VMProtect - aber nur ein paar Monate vor seinem Autor deaktivieren alles ohne Ankündigung. Dieses kurze Leben und die von Analysten gefundenen Drucke zeigen mehr als nur eine traditionelle kriminelle Kampagne: Es ist sehr wahrscheinlich, dass Arkanix zumindest teilweise das Ergebnis eines von Sprachmodellen unterstützten Entwicklungsversuchs war. Die Suche zeigt, wie IA-Tools beschleunigen und verlangsamen die Erstellung von schädlichen Code.
Die von Kaspersky-Forschern durchgeführte technische Analyse liefert die vollständigste Informationsbasis auf Arkanix. In ihrem Bericht beschreiben sie sowohl die Fähigkeiten von Malware als auch die Tracks, die das Eingreifen großer Sprachmodelle in die Generierung von Code, Dokumentation und Projektartefakten vorschlagen. Sie können diese Analyse direkt im öffentlichen Bericht von Kaspersky konsultieren, um die Verpflichtungsindikatoren und die technische Beschreibung zu überprüfen: Kaspersky - Arkanix Stealer.
Was seine Funktionen betrifft, hat Arkanix eine Reihe von typischen Fähigkeiten in modernen "info-stealers" integriert: System-Informationssammlung, Entfernung von Anmeldeinformationen und Daten, die in Browsern gespeichert - einschließlich Geschichte, selbst abgeschlossen, Cookies und Passwörter - und Diebstahl von Geldbörsen oder kryptographische Erweiterungen in Dutzenden von Browsern. Forscher weisen auch auf die Fähigkeit, OAuth2 Token in Chromium-basierten Browsern zu erfassen, eine Technik, die dauerhaften Zugriff auf Konten ohne die Notwendigkeit traditioneller Passwörter erleichtert. Darüber hinaus hat der Trojan bekannte VPN-Service-Anmeldeinformationen angegriffen, kann Systemdateien komprimieren und ausfiltrieren und hatte herunterladbare Module aus seinem Befehls- und Steuerserver: von Chrome-Rekordern und Geldbörsen wie Exodus zu Werkzeugen für Screenshots, virtuellen Fernzugriff (HVNC) und Räuber für Kunden wie FileZilla oder Steam.
Die Premium-Version fügte weitere erweiterte Funktionen hinzu: RDP-Anmelde-Diebstahl, Anti-Sandbox und Anti-Debugging-Checks, WinAPI-Bildschirmerfassung und die Fähigkeit, Spieleplattformen und Authentifizierungsdienste wie Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect und GOG anzusprechen. Es beinhaltete auch ein Post-Exploitation-Tool namens ChromeElevator, entworfen, um in suspendierte Browser-Prozesse mit der Absicht, Schutz zu vermeiden, wie Googles App-Bound-Verschlüsselung (EBA) und damit Zugriff auf Anmeldeinformationen in einer unbefugten Weise. Der Schutz mit VMProtect wollte statische Analyse und Verzögerungserkennung durch Sicherheitsprodukte komplizieren.
Neben technischen Fähigkeiten hat sich das Projekt als kommerzielles Produkt verhalten: Es gab ein Dashboard mit Affiliate-Optionen und Retributionen für Referenz - ein Anreiz, die Distribution zu beschleunigen - und der Discord-Server diente als Raum für Community-Updates, Support und Feedback. Doch dieses öffentliche Ökosystem endete auch abrupt: der Autor entfernte das Panel und schloss den Kanal ohne Kommunikation, was nahelegte, dass die Initiative bewusst ephemeral war. Laut den Forschern selbst, dies erschwert die Arbeit der Erkennung und Überwachung, weil Entwickler können starten, monetarisieren und verschwinden schnell, so wenig Rückverfolgbarkeit.
Eines der besorgniserregendsten Ergebnisse der Studie ist die Möglichkeit, dass Arkanix auf Sprachmodellen basiert, um die Programmierung, Codegenerierung und Dokumentationsentwicklung zu beschleunigen. Analysten identifizierten Muster und Spuren im Code und in den Artefakten, die LLM-gestützte Prozesse entsprechen, die in ihrer Auswertung die Zeit und die Kosten der Schöpfung erheblich reduziert haben können. Wenn Kriminelle die IA erfolgreich integrieren, um Teile des Entwicklungszyklus zu automatisieren, stehen wir vor einer potenziellen Malware Demokratisierung: Akteure mit niedrigeren technischen Fähigkeiten könnten anspruchsvolle Werkzeuge für schnelle Gewinne einbauen.
Dieses Phänomen ist nicht auf Arkanix beschränkt. Die Sicherheitsgemeinschaft hat lange gewarnt über den doppelten Einsatz von künstlichen Intelligenz-Tools und wie die Verfügbarkeit von Programmierassistenten die Bedrohung transformieren kann. Die Rahmen und Empfehlungen für die Verwaltung von IA-Risiken, wie die Arbeit nationaler und internationaler Agenturen zur IA-Governance, werden bei der Identifizierung offensiver Anwendungen im Bereich Cybersicherheit wichtiger. In diesem Zusammenhang sind koordinierte Ansätze, die technische Standards, Sicherheitspraktiken und die Zusammenarbeit zwischen dem privaten Sektor und den Behörden integrieren, unerlässlich; Organisationen wie NIST haben Ressourcen veröffentlicht, um die verantwortungsvolle Entwicklung der IA zu leiten: NIST - AI-Ressourcen.
Für Verteidiger und gemeinsame Nutzer sind die Lehren praktisch und dringend. Behalten Sie aktuelle Software und Browser, aktivieren Sie Multifactor-Authentifizierung, wann immer möglich, verwenden Sie Passwörter-Manager, anstatt Anmeldeinformationen in flachen Text- oder Browser-Formularen zu speichern und überprüfen Zugriff auf Tokens und aktive Sitzungen sind Maßnahmen, die das Gelegenheitsfenster für Schauspieler reduzieren, die von kompromittierten Anmeldeinformationen profitieren. Die Überwachung der anormalen Aktivität in Endpunkten, die Segmentierung von Netzwerken und strengen Richtlinien zur Verwendung von APIs und Automatisierungen (insbesondere bei der Verwaltung von Token mit hohen Genehmigungen) helfen auf der Geschäftsseite, die Auswirkungen dieser Art von Werkzeug zu mindern.
Schließlich illustriert Arkanix zwei miteinander verbundene Trends: einerseits die Professionalisierung und Vermarktung krimineller Software, die seit langem Geschäftsmodelle wie "as- a- Service" übernommen hat, und andererseits die Ankunft der IA als Kapazitätsmultiplikator für Entwickler und Kriminelle gleichermaßen. Technische Berichte, wie die von Kaspersky veröffentlichte, dokumentieren nicht nur die spezifische Bedrohung, sondern liefern Kompromissindikatoren (Hashes, Domains und IP-Adressen), die es Antwortgeräte und Sicherheitstools ermöglichen, Varianten zu identifizieren und zu blockieren. Sicherheitsbeamte sollten diese Ressourcen nutzen, um interne Detektoren und Regeln zu stärken; der Bericht Kaspersky ist ein guter Ausgangspunkt für diejenigen, die technische Details benötigen: Kaspersky - Bericht Arkanix.
Wenn es eine Idee gibt, die nach der Arkanix-Folge klar ist, dass die Geschwindigkeit und Leichtigkeit, mit der schädliche Werkzeuge entwickelt werden können, bestimmen Faktoren im globalen Risiko. Die Sicherheitsgemeinschaft, die Technologieanbieter und die öffentlichen Institutionen sollten nicht nur die technischen Verteidigungen verbessern, sondern auch Maßnahmen und Praktiken zur Verringerung des Missbrauchs von Technologien für den allgemeinen Gebrauch einsetzen. Inzwischen müssen Benutzer und Administratoren davon ausgehen, dass die Bedrohung sich weiterentwickelt und grundlegende Präventionsmaßnahmen mit Rekord anzuwenden: digitale Hygiene und gute Praxis sind immer noch die effektivsten Barrieren für diese Art von Malware.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...